存储过程的where解决方法
日期:2014-05-18 浏览次数:20531 次
存储过程的where
存储过程的条件是直接写在存储过程里面,还是在页面写where 然后将where传到存储过程
例如:if (BusinessType != "请选择")
{
where += " and BusinessType='" + this.BusinessTypeDrop.Text.ToString() + "'";
}
这样写好吗?
------解决方案--------------------
写在存储过程里面,直接传参数进去就可以了。
------解决方案--------------------
------解决方案--------------------
------解决方案--------------------
都可以
------解决方案--------------------
推荐写到存储过程里面,将参数传入存储过程,获取结果集。
------解决方案--------------------
最好是放在里面,用参数传进来
------解决方案--------------------
------解决方案--------------------
------解决方案--------------------
写在外面就要考虑到SQL注入的危险
还有我理解写在外面是在拼凑SQL语句,然后将语句传递给数据库。
而调存储过程只需要传递参数。
前者传输量比后者大
------解决方案--------------------
存储过程的条件是直接写在存储过程里面,还是在页面写where 然后将where传到存储过程
例如:if (BusinessType != "请选择")
{
where += " and BusinessType='" + this.BusinessTypeDrop.Text.ToString() + "'";
}
这样写好吗?
------解决方案--------------------
写在存储过程里面,直接传参数进去就可以了。
------解决方案--------------------
------解决方案--------------------
------解决方案--------------------
都可以
------解决方案--------------------
推荐写到存储过程里面,将参数传入存储过程,获取结果集。
------解决方案--------------------
最好是放在里面,用参数传进来
------解决方案--------------------
------解决方案--------------------
------解决方案--------------------
写在外面就要考虑到SQL注入的危险
还有我理解写在外面是在拼凑SQL语句,然后将语句传递给数据库。
而调存储过程只需要传递参数。
前者传输量比后者大
------解决方案--------------------
- SQL code
--写在存储过程中,防止SQL注入
CREATE PROCEDURE proc_test
@para1 INT = NULL,
@para2 VARCHAR(100) = NULL
AS
BEGIN
SELECT TOP 10 * FROM table_name
WHERE 1 = 1
AND (@para1 IS NULL OR field1 = @para1)
AND (@para2 IS NULL OR field2 = @para2)
END
--如果写在代码中,用拼SQL的方式,正好给SQL注入提供了入口
if (BusinessType != "请选择")
{
this.BusinessTypeDrop.Text = "test' or '1' = '1"; --可注入
where += " and BusinessType='" + this.BusinessTypeDrop.Text.ToString() + "'";
}
------解决方案--------------------
写在里面也可能被注入啊。
------解决方案--------------------
------解决方案--------------------
最好写在存储过程中,参数化,防注入!
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
